Úrlausnir

Miðlun vegna þjónustukannana

28.9.2015

Persónuvernd hefur úrskurðað að vegna skorts á vinnslusamningi hafi miðlun persónuupplýsinga frá fjarskiptafyrirtæki til ráðgjafarfyrirtækis, vegna þjónustukönnunar, ekki verið í samræmi við lög nr. 77/2000.

Úrskurður

 

Á fundi stjórnar Persónuverndar hinn 22. september 2015 var kveðinn upp svohljóðandi úrskurður í máli nr. 2015/1012:

 

 

I.

Grundvöllur máls

Málavextir og málsmeðferð

 

1.

Tildrög máls

Þann 6. júlí 2015 barst Persónuvernd kvörtun frá [A] vegna miðlunar persónuupplýsinga um hann frá Símanum til Capacent. Í kvörtuninni sagði m.a.:

„Óheimil miðlun persónuupplýsinga. Síminn afhenti Gallup upplýsingar um mig. Þar á meðal nafn og símanúmer og upplýsingar um símtöl sem ég hef hringt. [...] Minn skilningur á lögunum er sá að Símanum sé óheimilt að láta 3 aðila í té persónuupplýsingar. Eins finnst mér það mjög vafasamt að það sé í lagi að Gallup fái lista yfir þá sem hafa hringt í ákveðið símanúmer. [...]“

2.

Málsmeðferð

Í símtali við kvartanda þann 7. júlí 2015 óskaði stofnunin frekari upplýsinga frá honum um hvort hann væri skráður á bannskrá Þjóðskrár Íslands sem og hvort hann væri viðskiptavinur Símans. Kvartandi svaraði því til að hann væri ekki skráður á bannskrá Þjóðskrár en hann væri í viðskiptum við Símann. Engu að síður teldi kvartandi að Símanum væri óheimilt að miðla upplýsingum um hann til þriðja aðila.

Með bréfi, dags. 7. júlí 2015, var Símanum hf. og Gallup tilkynnt um kvörtunina og boðið að koma á framfæri andmælum sínum til samræmis við 13. og 14. gr. stjórnsýslulaga nr. 37/1993. Óskaði stofnunin eftir upplýsingum um það hvort og eftir atvikum hvaða upplýsingum um kvartanda hefði verið miðlað frá Símanum til Gallup, í hvaða tilgangi og á hvaða heimild í 1. mgr. 8. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, miðlunin byggðist.

Í svarbréfi Símans, dags. 24. júlí 2015, sagði m.a. að Síminn framkvæmdi reglulega þjónustukannanir til að tryggja að þjónusta félagsins væri í samræmi við kröfur þess um þjónustustig sem og reglur sem hvíldu á félaginu gagnvart neytendum. Þjónustukannanir væru liður í eftirliti með starfsemi félagsins, þ.á m. með framkomu starfsmanna og hvernig leyst væri úr málum sem bærust félaginu. Þá væri rekstur verslana og þjónustuvers hluti af þjónustu Símans til viðskiptavina og vinnslan væri nauðsynleg til að tryggja að þjónustan væri í samræmi við kröfur félagsins sem og viðskiptavina, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Þá kom fram að Gallup væri falið að vinna þjónustukannanir fyrir Símann sem vinnsluaðili. Úrvinnsla væri ópersónugreinanleg og aðeins væri miðlað upplýsingum um hvaða einingu tiltekinn viðskiptavinur hafði samband við hjá Símanum sem og símanúmer viðkomandi. Engum fjarskiptaupplýsingum væri miðlað líkt og fram kæmi í kvörtun kvartanda.

Með bréfi, dags. 28. júlí 2015, óskaði Persónuvernd eftir nánari skýringum frá Símanum um það hvaða persónuupplýsingar um kvartanda Síminn hefði afhent Gallup við framkvæmd þjónustukönnunarinnar. Þá óskaði stofnunin einnig eftir því að henni bærist afrit af vinnslusamningi sem gerður hefði verið milli Símans og Gallup, sbr. 13. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Í svarbréfi Símans, dags. 12. ágúst 2015, kom fram að félagið hefði miðlað eftirfarandi upplýsingum um kvartanda;

„8004000 Þjónustuborð – [A] – [símanúmer XXXXXXX] - Netsambönd.“

Nánar til tekið væri um að ræða símanúmer og heiti þeirrar deildar sem kvartandi hefði haft samband við, nafn kvartanda, símanúmer sem kvartandi hringdi úr og flokkur á erindi kvartanda. Þá kom fram að rétthafi á símanúmeri sem kvartandi hefði hringt úr væri fyrirtæki. Bréfinu fylgdi einnig afrit af samkomulagi Símans hf. og Capacent, dags. 13. janúar 2015, en fram kom að samningurinn hefði ekki verið undirritaður. Myndi Síminn lagfæra það og koma samningnum í rétt horf. Í samningnum kom m.a. fram að Capacent myndi sinna samfelldum rannsóknum á þjónustu í verslunum og deildum Símans í þeim tilgangi að mæla viðhorf viðskiptavina Símans til þjónustu fyrirtækisins. Í samkomulaginu kom jafnframt fram hvaða deildir og þættir þjónustunnar væru kannaðir og að úrtak næði yfir „virka“ viðskiptavini Símans, sem hefðu haft samskipti við tiltekna deild á sl. 30 dögum, sem valdir hefðu verið með tilviljunaraðferð. Loks sagði að úrtakslistum væri eytt eftir notkun samkvæmt vinnureglum Capacent og að við alla úrvinnslu hjá Capacent væri þess gætt að ekki væri unnt að rekja svör til einstakra svarenda.

Með bréfi, dags. 24. ágúst 2015, var kvartanda boðið að tjá sig um ofangreind svarbréf Símans. Svarfrestur var veittur til 15. september. Þann 9. september hafði kvartandi samband við skrifstofu Persónuverndar símleiðis og tók fram að hann teldi ekki tilefni til að koma á framfæri frekari athugasemdum vegna málsins. Kvartandi tiltók þó að hann óskaði úrskurðar um málið og að hann teldi Símann hafi brotið lög með því að miðla persónuupplýsingum um hann til þriðja aðila á grundvelli óundirritaðs samnings..

 

II.

Forsendur og niðurstaða

 

1.

Gildissvið laga nr. 77/2000

Efnislegt gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, og þar með valdsvið Persónuverndar, nær til vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. og 1. og 2. mgr. 37. gr. laganna. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Af framangreindu er ljóst að sú aðgerð, að miðla persónuupplýsingum um kvartanda til Capacent, þ. á m. um nafn hans, símanúmer og tilgreiningu ástæðu þess að kvartandi hafði samband við þjónustuver Símans, felur í sér vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Síminn hf. miðlaði persónuupplýsingum um kvartanda til Capacent og fól félaginu að framkvæmda þjónustukannanir fyrir Símann. Eins og hér háttar til telst Síminn hf. vera ábyrgðaraðili vinnslunnar sem kvörtunin lýtur að.


2.

Forsendur og niðurstaða

2.1.

Lögmæti

Öll vinnsla almennra persónuupplýsinga verður að eiga sér stoð í lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Í því felst m.a. að ávallt verður að vera fullnægt einhverju af skilyrðum 8. gr. laganna. Í svarbréfi Símans hf.  kemur fram að tilgangur félagsins með vinnslunni sé að framkvæma þjónustukannanir og tryggja með því að þjónusta Símans sé í samræmi við kröfur félagsins og viðskiptavina, sbr. 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Auk þess sagði í svarbréfinu að þjónustukannanir væru liður í eftirliti félagsins með starfseminni gagnvart neytendum, m.a. framkomu starfsmanna og hvernig leyst væri úr málum sem bærust félaginu.

Að auki verður, eins og ávallt þegar unnið er með persónuupplýsingar, að vera farið að öllum grunnkröfum 7. gr. laga nr. 77/2000,  þ. á m. að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti slíkra upplýsinga (1. tölul.); að persónuupplýsingar skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að persónuupplýsingar skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); og að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.).

Í 2. tölul. 1. mgr. 8. gr. laga nr. 77/2000 segir að heimilt sé að vinna með persónuupplýsingar þegar vinnsla telst nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður. Í athugasemdum við 2. tölul. í greinargerð með því frumvarpi, sem varð að lögunum, segir að í tengslum við efndir samnings við hinn skráða megi viðhafa nauðsynlega vinnslu, s.s. á pöntunum, reikningum og kvittunum. Undir umræddan tölulið falli að auki sú aðstaða þegar vinnsla er nauðsynleg til að undirbúa gerð samnings.

Persónuvernd telur ekki ótvírætt, m.a. þegar litið er til framangreindrar umfjöllunar í lögskýringargögnum, að umrædd miðlun teljist nauðsynleg vegna samnings eða samningsgerðar í þeim skilningi sem krafist er samkvæmt 2. tölul. 1. mgr. 8. gr. Kvartandi var hvorki aðili að þeim samningi sem lá umræddri miðlun til grundvallar né var hann til þess fallinn að gera ráðstafanir að beiðni kvartanda. Reynir þá á hvort aðrar heimildir samkvæmt ákvæðinu geti átt við, en einkum kemur þar til álita 7. tölul. 1. mgr. 8. gr.

Í 7. tölul. 1. mgr. 8. gr. segir að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna ábyrgðaraðila eða þriðja aðila sem upplýsingunum er miðlað til. Að mati Persónuverndar er hér um að ræða lögmæta hagsmuni í skilningi  7. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Til að vinnsla geti átt sér stoð í 7. tölul. 1. mgr. 8. gr. er skilyrði að grundvallarréttindi og frelsi hins skráða vegi ekki þyngra en tilgreindir hagsmunir ábyrgðaraðila. Við mat á því hvort svo sé skiptir máli hvaða persónuupplýsingum var miðlað. Eins og hér háttar til miðlaði Síminn almennum persónuupplýsingum um kvartanda, þ.e. um nafn hans, símanúmer og ástæðu þess að kvartandi hafði samband við þjónustuver Símans, til Capacent í þeim tilgangi að gera Capacent kleift að framkvæma þjónustukönnun fyrir Símann. Það er mat Persónuverndar að miðlunin hafi ekki ógnað eða getað ógnað grundvallarréttindum og frelsi kvartanda þannig að telja megi hagsmuni hans, af því að miðlunin fari ekki fram, vega þyngra en framangreindir hagsmunir Símans af miðlunin. Þá hefur kvartandi ekki sett fram röksemdir sem leiða til hins gagnstæða.

 

2.2.

Vinnslusamningur

Það samkomulag sem liggur miðlun persónuupplýsinga um kvartanda til grundvallar tilgreinir að Capacent Gallup geri tillögu að samfelldum rannsóknum á þjónustu í verslunum og deildum Símans. Í svarbréfi Símans kemur fram að umrætt samkomulag hafi verið óundirritað og að Síminn myndi lagfæra þann annmarka hið fyrsta. Þá er að finna í samkomulaginu lýsingu á markmiðum könnunarinnar og aðferðarfræði auk þess sem tilgreint er hvaða deildir og þjónustuþættir verði kannaðir, hvert þátttökuúrtak könnunarinnar verði og hvernig gagnaöflun verði háttað. Loks fylgdi samkomulaginu afrit af spurningalista sem lagður var fyrir rannsóknarúrtakið, ásamt upplýsingum um heildarverð fyrir þjónustukönnunina. Af samkomulaginu má ráða að það stafi frá Capacent, sem í þessu tilviki telst vinnsluaðili, og er það undirritað af starfsmanni Capacent.

 

Skyldur samkvæmt lögum nr. 77/2000 hvíla á ábyrgðaraðila að vinnslu persónuupplýsinga. Sá sem vinnur persónuupplýsingar á vegum ábyrgðaraðila er nefndur vinnsluaðili, sbr. 5. tölul. 2. gr. laganna. Um samband ábyrgðaraðila og vinnsluaðila er nánar kveðið í 13. gr. laga nr. 77/2000. Samkvæmt 1. mgr. 13. gr. er ábyrgðaraðila heimilt að semja við tiltekinn aðila um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á samkvæmt ákvæðum laganna. Lögmæti þess sem vinnsluaðili gerir ræðst af því umboði sem ábyrgðaraðili hefur gefið honum. Þá segir í 2. mgr. 13. gr. að vinnslusamningur skuli vera skriflegur og a.m.k. í tveimur eintökum. Þar skal koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast.

 

Það samkomulag sem liggur miðlun persónuupplýsinga um kvartanda til grundvallar fullnægir ekki þeim form og efniskröfum sem ákvæði 13. gr. mælir fyrir um. Þrátt fyrir að umrædd miðlun persónuupplýsinga um kvartanda, frá Símanum til Gallup, geti almennt talist heimil á grundvelli lögmætra hagsmuna Símans sbr. 7. tölul. 1. mgr. 8. gr. laganna, hafði ábyrgðaraðili ekki útbúið vinnslusamning sem fullnægir form og efniskröfum sem ákvæði 13. gr. laganna mæla fyrir um. Þegar af þeirri ástæðu telst miðlunin óheimil.

 

Ú r s k u r ð a r o r ð:

 Miðlun Símans hf. á persónuupplýsingum um [A] til Capacent var ekki í samræmi við lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, vegna skorts á vinnslusamningi.




Var efnið hjálplegt? Nei